Ritorna una nota distribuzione di malware attraverso mails come quella ricevuta da poco
che presenta link ad eseguibile ''mascherato' nel nome dall'uso di una lunga serie di caratteri underscore
Ecco come si presenta il contenuto del file zip linkato in mail prima
e dopo aver ridimensionato la colonna relativa al nome del file
Una analisi Virus Total mostrava, al momento della scrittura del post, riconoscimento nullo per il file estratto dallo zip
mentre il file nel formato zip viene riconosciuto come possibile malware da ben pochi softares AV
Questi gli header in mail
mentre per quanto si riferisce all'hosting del file, probabile malware, vediamo alcuni ulteriori dettagli:
Il lnk in mail punta a sito italiano compromesso di vendita 'caffe'
con whois
Detto sito parrebbe ospitare due differenti folders che hostano l'eseguibile malware
ma non solo.
Una ricerca piu' approfondita porta infatti a trovare alcuni codici relativi a questa 'nota' pagina fake dal layout di e-card
gia' ampiamente vista e descritta in passato in questo post.
Una breve analisi del codice offuscato indica che al momento l'indirizzo presente non e' piu' attivo.
Ritornando al file eseguibile una sua analisi con Anubis mostra che lo stesso si connette ad indirizzo con whois
e riferimento a file che ritroviamo gia' in una precedente analisi malware Sophos.
In ogni caso si tratta di una azione di spam pericoloso che potrebbe, grazie al fake nome del file e la doppia estensione mascherata, far cliccare sull'eseguibile,tanto piu' che al momento detto codice sembra praticamente sconosciuto ai piu' diffusi software AV anche se, come sempre, c'e' da tenere conto dei limiti di una scansione on-line on-demand quale quella di Virus Total.
Edgar
che presenta link ad eseguibile ''mascherato' nel nome dall'uso di una lunga serie di caratteri underscoreEcco come si presenta il contenuto del file zip linkato in mail prima
e dopo aver ridimensionato la colonna relativa al nome del file
Una analisi Virus Total mostrava, al momento della scrittura del post, riconoscimento nullo per il file estratto dallo zip
mentre il file nel formato zip viene riconosciuto come possibile malware da ben pochi softares AV
Questi gli header in mail
mentre per quanto si riferisce all'hosting del file, probabile malware, vediamo alcuni ulteriori dettagli:Il lnk in mail punta a sito italiano compromesso di vendita 'caffe'
con whois
Detto sito parrebbe ospitare due differenti folders che hostano l'eseguibile malware
ma non solo.Una ricerca piu' approfondita porta infatti a trovare alcuni codici relativi a questa 'nota' pagina fake dal layout di e-card
gia' ampiamente vista e descritta in passato in questo post.Una breve analisi del codice offuscato indica che al momento l'indirizzo presente non e' piu' attivo.
Ritornando al file eseguibile una sua analisi con Anubis mostra che lo stesso si connette ad indirizzo con whois
e riferimento a file che ritroviamo gia' in una precedente analisi malware Sophos.In ogni caso si tratta di una azione di spam pericoloso che potrebbe, grazie al fake nome del file e la doppia estensione mascherata, far cliccare sull'eseguibile,tanto piu' che al momento detto codice sembra praticamente sconosciuto ai piu' diffusi software AV anche se, come sempre, c'e' da tenere conto dei limiti di una scansione on-line on-demand quale quella di Virus Total.
Edgar
Nessun commento:
Posta un commento